Hallo,
zwei Mitarbeiter sollen eine Home-Office Möglichkeit erhalten.
Vorhanden ist ein Datev Server 2019 an einer Fritzbox für Internet sowie 8 PCs und zwei Laptops, diese sind als Netzarbeitsplatz Clients installiert.
Ich hätte nun versucht die beiden Laptops, welche im Büro wunderbar funktionieren, mit Hilfe von Windows VPN Client an den Server 2019 anzuschalten.
Das Ganze funktioniert auch soweit, Datev lässt sich öffnen und man kann auch damit arbeiten, die Zugriffe sind zwar etwas langsamer als vorOrt, aber immerhin.
Problem tritt ein sobald die "Vor Ort" Netzarbeitsplätze DATEV benutzen und zeitgleich einer der beiden VPN Clients nach erfolgreicher Verbindung DATEV öffnet. Sobald an diesem DATEV geöffnet wird bekommen die Arbeitsplätze im Büro keinen Zugriff auf den SQL Server. In der Ereignisanzeige erscheint ab dann:
MSSQL$DATEV_DBENGINE "Login failed for user '....'. Ursache: Es konnte keine Anmeldung gefunden werden, die mit dem angegebenen Namen übereinstimmt. [CLIENT: <local machine>]", CLIENTS zeigen Fehler wie REB22056 oder DB60014.
Ich verstehe das Ganze nicht ganz was hier passiert, der Zugriff auf Laufwerke usw. im VPN Tunnel und vor Ort zeigt keine Probleme. Erst nach Neustart des SQL Servers läuft einer der Zugriffe, VPN bzw. Büro wieder.
Was könnte hier die Ursache sein, Besten dank.
Was sagt eine Anmeldung am PC eines in der Kanzlei Sitzenden, wenn die VPN Verbindung schon steht? Und dann bitte nicht Domäne\User (das speichert Windows zwischen) sondern User@Domäne, weil dann so per DNS das AD aktiv gesucht wird und man das DNS testen kann.
Was sagt das DNS allgemein? Klappt noch alles so, wie es ohne VPN auch der Fall ist? Welche IP-Adressen haben die VPN-Arbeitsplätze extern? Im gleichen 24er Subnetz oder eine andere? IPv6 ggf. im Spiel an der Fritz!Box? Das mag ein Windows AD überhaupt nicht. Wenn, dann muss der DHCP unter Windows IPv6 Adressen verteilen.
@maxlgraf schrieb:
Das Ganze funktioniert auch soweit, Datev lässt sich öffnen und man kann auch damit arbeiten, die Zugriffe sind zwar etwas langsamer als vorOrt, aber immerhin.
Interessant, dass das überhaupt klappt, sodass man zügig arbeiten kann 😳. Was da alles an SQL-Abfragen via VPN laufen muss, wo DATEV lokal schon nicht das allerschnellste mit Pingzeiten von < 1ms ist. Besser hier: RDP via VPN auf den PC / Laptop in der Kanzlei und als HomeOffice kann dazu ein älterer Client dienen. Muss auch nicht Windows sein. Linux geht inkl. mIDentity auch @LS4B. Wird 10x schneller laufen. Das nur als Tipp 😉.
Hallo,
hier die Konfiguration
Netzwerk
Server IP 192.186.16.1 / 192.186.16.2 als NIC Team
- DHCP 192.168.16.11 - ..100
- Routing und RAS 192.168.16.200 - .. 230
Gateway Fritzbox 192.186.16.7
IPv6 ist an der Fritzbox aus, DNS zeigt keine Fehler, sobald der VPN Client sich abmeldet ist das gesamte Netzwerk unter DATEV sch.. langsam, erst nach Neustart des SQL Servers läuft es wieder.
Auf die Schnelle finde ich nur folgende Fehler im Ereignisprotokoll:
Der DNS-Server konnte den Socket für die Adresse 192.168.16.1 nicht öffnen.
Überprüfen Sie, ob diese IP-Adresse auf dem Servercomputer gültig ist. Verwenden Sie im DNS-Manager das Eigenschaftenfenster des Servers und dort die Registerkarte "Schnittstellen", um diese Adresse gegebenenfalls von der Adressliste zu entfernen. Starten Sie den DNS-Server danach erneut. (Falls diese Adresse die einzige IP-Schnittstelle ....
Der DNS-Server konnte ein Benutzer-Datagrammsocket (UDP) zu 192.168.16.1 nicht binden. Die Ereignisdaten enthalten den Fehlercode. Starten Sie den DNS-Server bzw. den Computer neu.
Das mit der Anmeldung kann ich erst morgen probieren.
Danke
... ist die .186. ein Tippfehler ?
...falls es 'selbstverständlich' ein Tippfehler ist, sollte man ihn auch 'selbstverständlich' nicht machen.
Das Netz versteht keinen Spaß bei falschen ip-Adressen
@vogtsburger schrieb:
... ist die .186. ein Tippfehler ?
Ja, ist ein Tippfehler. Sonst würde noch mehr nicht gehen ohne / mit falschem Gateway 😉. Hier geht's um ein viel größeres / anderes Problem. Eine simple, falsche IP-Adresse ist es sicherlich nicht 😋.
@maxlgraf: Also macht der Windows Server mittels RAS & Routing das VPN? Okay. Ich dachte, das macht die Fritz!Box als VPN-Endpunkt. So hätte ich's tatsächlich eingerichtet. Dazu RDP und mittels Client auf die Kisten, die in der Kanzlei bleiben.
Mit RAS & Routing bin ich nicht so sehr vertraut. Mache es lieber immer über den Router, der VPN mittels IPsec kann: Fritz!Box, bintec/elmeg, Sophos, ... IKEv2 oder SSTP kommt aber zum Einsatz? Alle anderen angebotenen (PPTP, L2TP) Protokolle sind meiner Meinung nach veraltet und unsicher.
Mal testweise das NIC Teaming aufgelöst? Das machte bei mir auch öfter Probleme bzw. hat mir ein Kollege mal erzählt, woran es liegt, dass das NIC Team nur so halb läuft. Ich hab's mir nicht gemerkt. Achtung, wenn man das NIC Teaming via Fernwartung auflöst. Nicht, dass man sich den Boden unter den Füßen wegzieht.
Scheint also ein DNS Problem zu sein.
@maxlgraf schrieb:
erst nach Neustart des SQL Servers läuft es wieder.
Heißt, Sie starten den SQL-Server als Dienst neu? Oder doch den gesamten Server inkl. DATEV, DNS, DHCP und RAS&Routing?
Ist NAT bei RAS&Routing zufällig auch installiert worden? Das verträgt sich laut Microsoft nicht mit DNS: Events 407 and 408 are reported in the DNS server event log Allgemein kann ich nur empfehlen, Services zu trennen. Der 1 Server macht mit AD, SQL, DNS, DHCP, ggf. noch File sowieso schon relativ viel 😲. Da würde ich das VPN auf alle Fälle auf ein anderes Gerät hin auslagern, zumal man in der Fritz!Box doch die Portweiterleitung auf den Server einstellen muss, damit die Ports des VPNs (je nach Protokoll) auch am Server ankommen, oder nicht? DMZ in FRITZ!Box einrichten Finde ich irgendwie nicht so cool.
@metalposaunist schrieb:Da würde ich das VPN auf alle Fälle auf ein anderes Gerät hin auslagern, zumal man in der Fritz!Box doch die Portweiterleitung auf den Server einstellen muss, damit die Ports des VPNs (je nach Protokoll) auch am Server ankommen, oder nicht? DMZ in FRITZ!Box einrichten Finde ich irgendwie nicht so cool.
@maxlgraf Ich würde auch dringend dazu raten die VPN Strecke im Router zu terminieren, und nicht weiter hinten am Server.
@maxlgraf schrieb:Hallo,
hier die Konfiguration
Netzwerk
Server IP 192.186.16.1 / 192.186.16.2 als NIC Team
- DHCP 192.168.16.11 - ..100
- Routing und RAS 192.168.16.200 - .. 230
Gateway Fritzbox 192.186.16.7
IPv6 ist an der Fritzbox aus, DNS zeigt keine Fehler, sobald der VPN Client sich abmeldet ist das gesamte Netzwerk unter DATEV sch.. langsam, erst nach Neustart des SQL Servers läuft es wieder.
Auf die Schnelle finde ich nur folgende Fehler im Ereignisprotokoll:
Der DNS-Server konnte den Socket für die Adresse 192.168.16.1 nicht öffnen.
Überprüfen Sie, ob diese IP-Adresse auf dem Servercomputer gültig ist. Verwenden Sie im DNS-Manager das Eigenschaftenfenster des Servers und dort die Registerkarte "Schnittstellen", um diese Adresse gegebenenfalls von der Adressliste zu entfernen. Starten Sie den DNS-Server danach erneut. (Falls diese Adresse die einzige IP-Schnittstelle ....
Der DNS-Server konnte ein Benutzer-Datagrammsocket (UDP) zu 192.168.16.1 nicht binden. Die Ereignisdaten enthalten den Fehlercode. Starten Sie den DNS-Server bzw. den Computer neu.
Das mit der Anmeldung kann ich erst morgen probieren.
Danke
Wie andernorts schon angemerkt, sollte der VPN Endpunkt nicht, wie vermutet, auf dem DATEV Server sein.
Des weiteren empfiehlt sich dringend die Verwendung von RDP oder gleichwertigen Protokollen, sonst wird das keinen Spaß machen.
Wie die Vorposter schon schrieben - eine funktionierende Lösung mit Fritzbox kann ein VPN zur Fritzbox sein (Fritz Fernzugang). Dann per RDP auf den Arbeitsplatzrechner aufschalten. Der Laptop für den Fernzugriff benötigt nur einen vernünftigen Monitor + Sicherheitspaket compact. Smartcard/Stick muss lokal auf Laptop gesteckt sein. Jetzt ist es nur noch nötig, dass der Rechner im Büro angeschaltet ist - automatisches WOL über Fritzbox klappt nicht immer.
Die Lösung funktioniert bei überschaubaren Umgebungen ganz gut.
@maxlgraf schrieb:Hallo,
hier die Konfiguration
Netzwerk
Server IP 192.186.16.1 / 192.186.16.2 als NIC Team
Sind die zum Team gebundenen NICs tatsächlich jeweils mit einer IP versorgt?
In diesem Link https://www.microsoft.com/en-us/download/details.aspx?id=30160 findet sich ein Dokument zum Einrichten (und Verstehen) des Teamings von NICs.
Ein fehlgeleiteter Failover kann schon einmal für Verwirrung sorgen.
Hallo,
War ein Tippfehler, natürlich ..168.. 😉
NAT hat sich glaube ich mitinstalliert, werde es heute einmal entfernen, könnte sein das irdendwelche Adressen umgeswitched werden.
NIC dürfte keine Probleme bereiten,. da die restliche installierte Software funktioniert.
Benötige ich Lizenzen für RDP auf dem 2019 Server (user oder client cals) ?
Danke
@maxlgraf schrieb:
Benötige ich Lizenzen für RDP auf dem 2019 Server (user oder client cals) ?
Kein RDP zum Server 😉, sondern zu den angeschlossenen Clients: PCs & Laptops, wo DATEV mit allen Programmen drauf ist. Auch dazu braucht es keine Lizenzen. Es kann sich unter Windows 10 per RDP sowieso immer nur 1 Person anmelden. Sonst wäre es ein RDS.
Und bitte keine Ports (auch nicht 3389 für RDP) in der Fritz!Box oder sonst wo freigeben. Das birgt ein großes Sicherheitsrisiko!
@metalposaunist schrieb:Auch dazu braucht es keine Lizenzen.
Ich glaube es braucht auf beiden Geräten ein gleiches lizensiertes MS Office, außer man setzt M365 ein
Hallo,
wenn ich dasnun aufgreife
Fritzbox kann ein VPN zur Fritzbox sein (Fritz Fernzugang). Dann per RDP auf den Arbeitsplatzrechner aufschalten.
ich hätte mir die Anleitung zum Fernzugang zur Fritzbox durchgelesen
https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-verbinden/
verstehe aber dann wieder nicht
Tragen Sie im Eingabefeld "VPN-Benutzername (Key-ID)" die IPSec-ID bzw. Key-ID der im VPN-Server für die FRITZ!Box eingerichteten VPN-Verbindung (Max Mustermann) ein.
Bedeutet das ich muß trotzdem ROUTING und RAS auf dem Server installiert haben?
Es gibt doch mehr Benutzer welche zugreifen sollen?
Danke
Ein wenig Theorie kann nicht schaden: http://www.nwlab.net/know-how/VPN/
Danach sollten die hier verwendeten Grundbegriffe verständlicher sein.
@maxlgraf schrieb:
Bedeutet das ich muß trotzdem ROUTING und RAS auf dem Server installiert haben?
Es gibt doch mehr Benutzer welche zugreifen sollen?
Die Fritz!Box ist ein standalone Gerät und braucht keinen etwaigen Windows Server oder ähnliches. Alle Benutzer aus dem AD müssen an der Fritz!Box auch angelegt werden, die VPN herstellen wollen.
Deshalb setzt man auf Router/Firewalls, die sich ins AD integrieren lassen (z.B. Sophos), damit trotzdem alles miteinander redet oder zumindest kann. Die Fritz!Box kann man nicht ins AD aufnehmen und gehört ins private zu Hause. Nicht ins Unternehmen, Kanzlei oder als Businessgerät.
Welche Router (AD integrierbar) wären dann hierzu zu empfehlen?
Würde ein CISCO RV320-K9 reichen?
@maxlgraf schrieb:
Welche Router (AD integrierbar) wären dann hierzu zu empfehlen?
Ich kenne mich bei Sophos leider nicht aus. Es gibt noch etliche andere Anbieter am Markt. Sophos hat alles von sehr klein, bis Enterprise-Lösungen im Angebot. Und wenn man sich für Sophos entscheidet, muss man auch die Folgekosten im Blick haben und sich überlegen, welche Features man alle möchte. Will man nur ein VPN und nichts extra, kann man auch bei der Fritz!Box bleiben. Auch wenn's nur im AD-Integration geht - Sophos kann 100x mehr, weil VPN und AD Standard beim Hersteller sind.
Die Sophos steht bei uns unter Vertrag eines Sophos Partners und will man die Sophos nutzen, muss man dafür jährlich oder alle 2 Jahre ein Abo abschließen, weil auch Sophos und die Entwickler bezahlt werden wollen 😉 man dafür aber Updates bekommt und Firmwares und aktuelle Virenpattern, und, und, und.
Per RED Device kann man z.B. im HomeOffice einfach eine sichere Verbindung herstellen ohne Software installieren zu müssen, weil das RED Device ein SSL VPN herstellt und man hinterm RED Device den PC steckt, das Telefon, das MFP und alles, was man sonst noch mit der Kanzlei sprechen lassen will.
Die Sophos kann man bis ins kleinste administrieren und z.B. ganze Länder-Domains sperren. Dann kann man schon mal alle Domains als Korea, China, Russland und Co. filtern. Zusätzlich lässt sich ein Antivirus Client von Sophos installieren, der aus der Cloud managebar ist.
Den E-Mail Verkehr kann man auch via Sophos laufen lassen, damit die Sophos nochmal prüft und ggf. schon rausfiltert. Das macht aber nur bei einem im Netz vorhandenen Exchange Server Sinn, weil man im Falle von Exchange Online wohl auf deren Angebote & Methoden zurückgreift. Wie es sich mit POP/IMAP verhält, kann ich nicht sagen. Das ist auch keine Enterprise-Lösung; das ist Technik von gestern und auch nicht geeignet für eine Zusammenarbeit (Kalender, Termine, Aufgaben, ...).
Daher kann man Kosten und Gerät mit den Informationen aktuell nicht nennen. Dafür ist das Thema Sicherheit zu komplex und für jeden etwas anderes. Man will sich ja auch ggf. verbessern.
@maxlgraf schrieb:Welche Router (AD integrierbar) wären dann hierzu zu empfehlen?
Würde ein CISCO RV320-K9 reichen?
Das Ding ist End of Sale 2018 und End of Support 2023.
Man würde sich also jetzt direkt wieder eine Baustelle ins Haus holen.
Wie @metalposaunist schon schrieb würde ich für 2 User einfach die Fritzbox hernehmen -> kiss
Hallo,
ok, dann würde ich vorübergehend die Lösung mit der Fritzbox versuchen,
bedeutet ich installiere den Fritz VPN Client an den Laptops und richte das VPN in der Box ein.
-> Zitat @metalposaunist Die Fritz!Box ist ein standalone Gerät und braucht keinen etwaigen Windows Server oder ähnliches. Alle Benutzer aus dem AD müssen an der Fritz!Box auch angelegt werden, die VPN herstellen wollen.
Aber was muß dazu noch am Server eingetragen werden, damit sich die Laptops an der Domäne anmelden können?
-> AVM-Anleitung "VPN-Server... eine VPN-Client-Verbindung für die FRITZ!Box einrichten"
V.G.
@maxlgraf schrieb:
Aber was muß dazu noch am Server eingetragen werden, damit sich die Laptops an der Domäne anmelden können?
Nichts. VPN zum Netz besteht; alle IPs sind dann erreichbar. RDP Client nehmen, IP des PCs / der Laptops eintragen und unter Benutzer DOMÄNE\BENUTZERNAME eintragen, Passwort, fertig.
Zum Screenshot: Da sind Sie frei. Hat alles nichts mit dem Server / MS AD zu tun. Können Sie eintragen, was Sie wollen. Den Preshared Key würde ich durch KeePass erstellen lassen; XAUTH braucht man nur bei Apple.
Hallo,
kurze Zwischenfrage
Was soll man unter "Internet-Adresse der Gegenstelle bzw. Adresse der Fritzbox" angeben beides muß eingegeben werden.
IP-Netzwerk der VPN Gegenstelle ist dann das interne Netzwerk?
@maxlgraf schrieb:
Was soll man unter "Internet-Adresse der Gegenstelle bzw. Adresse der Fritzbox" angeben beides muß eingegeben werden.
Die feste, öffentliche IP-Adresse des Anschlusses oder falls es keine feste IP-Adresse gibt, muss man mit DynDNS arbeiten.
Hallo,
VPN über die Fritzbox besteht, leider ohne Namensauflösung, Ping oder RMD geht nur mit den IP Adressen der Clients.
Wenn eine Remotedesktopverbindung aufgebaut wird bekommt man die Fehlermeldung "Die Sitzung mit der Remoteverbindung wurde getrennt, da kein Lizenzserver für Remotedesktop vorhanden ist,..."
Werden nun doch Lizenzen benötigt?
@maxlgraf schrieb:
leider ohne Namensauflösung,
Stimmt. DNS geht darüber nicht. Aber wenn's nur eine RDP-Verbindung ist, braucht man ja nur 1x dazu die passende IP der Clients.
@maxlgraf schrieb:
Werden nun doch Lizenzen benötigt?
Nein. Keine Ahnung, wohin Sie sich per RDP verbunden haben. Wichtig ist, dass der DATEV mIDentity am Client im HomeOffice steckt, sodass dieser per RDP auf den Client in der Kanzlei durchgeschliffen wird.
@maxlgraf: NAT ist deinstalliert und DATEV & das DNS läuft wieder?
Ohne Ihnen zu Nahe zu treten zu wollen 🙏 aber IT-Sicherheit ist mittlerweile die Grundlage zum Arbeiten. Und mal eben schnell ein VPN erstellen erfordert dazu gewisse Grundkenntnisse. Erst der Exchange Hack, über Ostern war Gigaset Opfer eines Angriffes mit weitreichenden Folgen und auch SAP Installationen werden aktuell aktiv angegriffen.
Ich würde aktuell nur sehr ungern Verantwortung für IT-Sicherheit tragen wollen und setze mich lieber gerne in gesteckte Rahmenbedingen und mache das beste draus.
Für die Remotedienste werden schon Lizenzen benötigt, die nennen sich RDP Cals und müssen auf einem Progrämmchen namens, wie zu erraten war, sich Lizenzserver nennt.
Wie @metalposaunist schon anmerkte, alles nicht so einfach.
Und zum Thema VPN und DNS gibt es auch einiges im Netz zu finden. Den DNS des Zielservers kann man schon bekannt machen. Für "mal eben" gibt es den DATEV Telearbeitsplatz in Verbindung mit DATEVnet.
@einmalnoch schrieb:
Für die Remotedienste werden schon Lizenzen benötigt, die nennen sich RDP Cals und müssen auf einem Progrämmchen namens, wie zu erraten war, sich Lizenzserver nennt.
Aber doch nicht für Windows 10 Clients 🤔? @maxlgraf hat doch einen DATEV SQL Server und daran angeschlossen Windows 10 Laptops & PCs. Jetzt im HomeOffice schalte ich mich via VPN vom Client im HomeOfice doch nur auf die Clients per RDP in der Kanzlei auf, wo Windows 10 läuft und seit wann braucht man für Windows 10 RDP CALs?
Hier ist kein WTS/RDS im Einsatz.
@maxlgraf schrieb:
VPN über die Fritzbox besteht, leider ohne Namensauflösung, Ping oder RMD geht nur mit den IP Adressen der Clients.
Wenn eine Remotedesktopverbindung aufgebaut wird bekommt man die Fehlermeldung "Die Sitzung mit der Remoteverbindung wurde getrennt, da kein Lizenzserver für Remotedesktop vorhanden ist,..."
Werden nun doch Lizenzen benötigt?
Wenn, wie vorgeschlagen, ein Connect auf den Client Rechner gemacht wird, braucht es keine RDS CALs. Andere Lizenzen können evtl. notwendig sein.
Och nicht soooo kompliziert machen... Sich nicht mit der Fritze quälen...
Wenn nur ein DATEV-FS und der Rest normale Clients sind, also klassisches FileServer-Netz würde ich (bzw. ich mache es eh immer so - auch für größere Umfelder mit HomeOffice zum WTS): FritzBox in ein ein anderes Netz packen und solch eine Konstruktion bauen (Beispiel):
Fritzbox 192.168.0.254 => Firewall / VPN-Router 192.168.0.1 an "rot" als WAN => Firewall / VPN-Router 192.168.1.254 an "grün" also LAN und nachgelagertes Netz dann 192.168.1.xxx
Fritzbox als ExposedHost, alle Ports offen nach/zur Firewall / VPN-Router. Auf der Fritze das VPN nicht benutzen... Ist an sich eh "Mist",
Auf der Firewall / VPN-Router OpenVPN einrichten. Die Geräte im HomeOffice mit OpenVPN SSL-Client versehen... egal welcher, Viscosity, OpenVPN (Original), SecurePoint - völlig egal was und welcher. Nen DynDNS-Eintrag besorgen, wenn keine feste IP.
Vorschlag als Firewall Hardwall: "China Industrie Nuc", oder nen SecurePoint BareBone ohne Lizenz... Ich nem lieber die China Dinger, weil Performanter und Langlebiger. Hier nen Celeron, 4 GB Ram, 32GB HDD fertig, reicht "dicke". für 30 Leute. Hauptsache das Teil hat zwei, drei LAN-Anschlüsse.
Auf den BareBone NethServer installieren oder wer es in einfach will IPFire. OpenVPN einrichten User/Zertifikate einrichten und fertig. OpenVPN-Konfig per User exportieren.
Das ganze ist, in 0,5-1 Stunden zu erledigen.
Wenn IPFire verwendet würde, kann ich die PCs meinetwegen auch noch per WOL aus der Ferne anschalten.
Wenn ich NethServer nehme (mache ich i.d.R.) kann ich mir noch schick nen Proxy, IPS/IDS, IP-Filter, DNS-Filter blah blah einrichten. Komme somit auch noch den Anforderungen an "Sicherheit" deutlich besser nach als "nix". Ferner könnte ich auch IPSec Site2Site nutzen, wenn man ganze Standorte verbinden wollte - aber das nur am Rande.
Einfach nen Dienstleister vor Ort suchen, der sowas kann/macht. Ist kein Hexenwerk, kostenpunkt für die Hardware ca. EUR 150 brutto zzgl. Arbeit. Lizenzkosten => keine.